Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS. Version 1.5

Größe: px
Ab Seite anzeigen:

Download "Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS. Version 1.5"

Transkript

1 Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS Version 1.5

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: https://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2009

3 Danksagung Danksagung Das BSI dankt der Firma T-Systems, besonders Herrn Lutz Emrich und Herrn Dr. Eric Hildebrandt, für die Mitwirkung bei der Erstellung dieser Kurzstudie. Auf Seite des BSI haben Frau Mechthild Schütz, Herr Bernd Becker und Herr Dr. Harald Niggemann das Projekt betreut. Es sei allen gedankt, die dieses Werk ermöglicht und begleitet haben. Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Grundlagen der MPLS-Technik MPLS-Nomenklatur MPLS-Überblick MPLS-Architektur Sicherheitsbetrachtung MPLS Gefährdungen bei der Nutzung von MPLS-Infrastrukturen Austritt markierter MPLS-Pakete aus dem VPN Injizieren unberechtigter Pakete aus einem MPLS-VPN in ein anderes MPLS-VPN Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN Anbinden eines unberechtigten CE-Routers durch Fehlkonfiguration Anbinden eines unberechtigten CE-Routers im Transportnetz eines anderen Netzdienstleisters Sichtbarkeit der logischen Struktur des Provider-Netzes Vermischung des Datenverkehrs verschiedener Kundennetze Denial-of-Service-Angriff auf PE-Router Denial-of-Service-Angriff aus dem Internet Denial-of-Service-Angriffe auf das Routing-Protokoll BGP im Core Denial-of-Service-Angriffe auf VPNs durch Routing-Updates Denial-of-Service durch Ausfall des Transportnetzes Sicherheitsmaßnahmen für MPLS-Netze Programmierung sicherer Software / Firmware, Zertifizierungen Verhindern von MPLS-Label-Spoofing Zuverlässigkeit des Dienstleisterpersonals Zuverlässigkeit verbundener MPLS-Carrier Einsatz von Netzüberwachungssystemen Sichere Kopplung von Netzdienstleistern Deaktivierung von MPLS-Traceroute-Funktionen Separierung des Datenverkehrs verschiedener Kunden-VPNs Schutz des PE-Routers Verstecken der IP-Adresse des PE-Routers Internet-Übergang als eigenes MPLS-VPN Sichere Konfiguration von BGP Etablierung von Schwellwert-Alarmen Anwendung von "Best Practice"-Empfehlungen für die Konfiguration der MPLS-Router Redundanz zum Schutz der Verfügbarkeit in MPLS-Netzen Nutzung einer dedizierten MPLS-Infrastruktur Programmieren und Einspielen von Software-Patches Nutzung von IPSec-Tunneln über MPLS-Verbindungen Bundesamt für Sicherheit in der Informationstechnik

5 Inhaltsverzeichnis 4.19 MPLS-Core ohne Internet-Konnektivität Verbindungstest nach Anbinden eines VPN-Standorts Erstellen eines Label-Konzepts Auswahl geeigneter Netzkomponenten Konzeption des MPLS-Netzes Rollout-Konzept Restrisiken Ausblick und zukünftige Bedrohungen Next Generation Networks (NGN) Generalized Multi-Protocol Label Switching (GMPLS) Anhang Kreuzreferenz-Tabelle Abkürzungsverzeichnis Referenzen...45 Abbildungsverzeichnis Abbildung 1: IP-Datagramme werden am Ingress-Router (links) mit einem MPLS-Label versehen, das am Egress-Router (rechts) wieder entfernt wird...10 Abbildung 2: Pakete werden von jedem LSR entsprechend seiner LSP-Tabelle neu "gelabeled"...11 Abbildung 3: Der LSP ergibt sich aus der CE-CE-Strecke über die LSR...11 Abbildung 4: Die PE-Systeme können mit CE verschiedener Kundennetze verbunden sein...12 Abbildung 5: Auf den PE werden die Routen innerhalb separater VRF-Instanzen (VPN Routing / Forwarding) getrennt verwaltet...13 Abbildung 6: Über unterschiedliche Sub-Interfaces werden die angebundenen CEs den VRFs zugeordnet...13 Abbildung 7: Schematische Darstellung eines MPLS-Netzes...15 Abbildung 8: Abgrenzung der Verantwortungsbereiche zwischen Kunde und Provider...16 Tabellenverzeichnis Tabelle 1: MPLS-Nomenklatur...10 Tabelle 2: Übersicht über die spezifischen Gefährdungen bei der Nutzung von MPLS-Netzen...20 Tabelle 3: Überblick über die Sicherheitsmaßnahmen für die Nutzung von MPLS...27 Tabelle 4: Kreuzreferenzen - Spezifische Sicherheitsmaßnahmen für MPLS...42 Bundesamt für Sicherheit in der Informationstechnik 5

6

7 Einleitung 1 Einleitung Bei der Vernetzung von Standorten greifen Kunden, wie z. B. Behörden und Unternehmen, aus Gründen der Wirtschaftlichkeit meist auf Angebote von Telekommunikationsdienstleistern (Provider, Carrier, Netzdienstleister) zurück. Der Datentransport kann dabei unter Nutzung verschiedener Weitverkehrstechniken, wie z. B. ATM, Frame Relay, "Leased Lines", realisiert werden. Heute existierende, moderne Providernetze werden zum größten Teil auf Basis des MPLS- Übertragungsprotokolls (Multi-Protocol Label Switching) realisiert [4]. Gegenüber den "traditionellen" Netztechniken bietet MPLS die folgenden Vorteile: - Im Vergleich zu IP-Routing geschieht der Datentransport durch Providernetze ressourcenschonender, weil im MPLS-Backbone auf Routing-Entscheidungen verzichtet werden kann. - Vereinfachte und damit schnellere Bereitstellungs- und Betriebsprozesse. - Verbesserte QoS-Eigenschaften (Quality-of-Service). - Weniger "Protokoll-Overhead" im Vergleich zu ATM. Die Nutzung einer MPLS-Infrastruktur eines Netzdienstleisters ermöglicht Kunden die Anbindung seiner räumlich entfernt liegenden Standorte über ein virtuelles privates Netz. Über das MPLS-Netz wird der Datenverkehr mehrerer Kundennetze, innerhalb eigener virtueller privater Netze (VPN), parallel übertragen. Das MPLS-Transportnetz stellt aus dieser Perspektive ein geteiltes Transportmedium dar, im Unterschied zur exklusiven Nutzung so genannter "Leased Lines" [3]. Dadurch entstehen Bedrohungen, die sowohl für Provider als auch für Behörden und Unternehmen relevant sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als IT-Sicherheitsbehörde des Bundes unter anderem mit der Absicherung von behördlichen Netzinfrastrukturen betraut. Innerhalb solcher Netzstrukturen werden im großen Umfang die Techniken DWDM (Dense Wavelength Division Multiplexing) und MPLS (Multi-Protocol Label Switching) zur Datenübertragung genutzt, oder deren Nutzung ist für die Zukunft vorgesehen. Die sichere Anwendung dieser Übertragungstechniken ist eine notwendige Voraussetzung für die Gesamtsicherheit der nationalen Netzinfrastrukturen und der daran angebundenen Systeme. Die Sicherheitskonzeption der Netzarchitekturen kann grundsätzlich anhand der existierenden BSI- Standards zur Informationssicherheit [12] vorgenommen werden. Die IT-Grundschutz-Kataloge [13] enthalten zurzeit aber keinen speziellen Baustein zu dem Themenbereich MPLS. Aus diesem Grund wurde die Firma T-Systems durch das BSI beauftragt, im Rahmen dieser Kurzstudie eine Sicherheitsanalyse für die Technik MPLS zu erstellen. Diese Sicherheitsanalyse berücksichtigt die verfügbaren Sicherheitsmechanismen und die relevanten Gefährdungen beim Einsatz von MPLS. Das vorliegende Dokument enthält das Studienergebnis der Bedrohungen, die sich aus der Nutzung des Übertragungsprotokolls MPLS ergeben. Diese Studie beschreibt die damit verbundenen Gefährdungen und leitet, in Anlehnung an die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI), Maßnahmen daraus ab. Gefährdungen und Maßnahmen, die bereits heute in den IT-Grundschutz-Katalogen aufgeführt sind, werden in der vorliegenden Studie nicht betrachtet. Zum Thema DWDM wurde eine vergleichbare Studie erstellt. Diese Studie kann von Netz-Dienstleistern und deren Auftraggebern für technische Bewertungen des Sicherheitsniveaus verwendet werden. Bundesamt für Sicherheit in der Informationstechnik 7

8 Grundlagen der MPLS-Technik 2 Grundlagen der MPLS-Technik Multi-Protocol Label Switching kombiniert die positiven Eigenschaften von Switching mit Routing auf einem Netzknoten. MPLS ist zwischen den Schichten 2 und 3 des OSI-Schichtenmodells angesiedelt (Layer "2,5"). - OSI-Schicht 3: IP - OSI-Schicht 2-3: MPLS - OSI-Schicht 2: ATM, FR, Ethernet Daten-Frames auf der Schicht 2 werden "geswitcht". Dabei wird der Frame anhand einer Tabelle einer Ausgangsschnittstelle zugeordnet. Für diesen Vorgang wird dem Prozessor des Netzknotens keine Rechenzeit abverlangt. Datagramme auf Schicht 3 werden "geroutet". Für die "Routing- Entscheidung" muss jeweils anhand einer "Forwarding-Tabelle" der "Next Hop" ermittelt werden. Dieser Vorgang beansprucht Rechenleistung. 2.1 MPLS-Nomenklatur Es existieren unterschiedliche Auffassungen darüber, was ein VPN kennzeichnet. Demnach wird ein VPN beispielsweise verstanden als: - Privates Netz durch die logische Trennung der transportierten Kundendaten. Beispiele dafür sind die auf Schicht 2 bzw. 2,5 des OSI-Schichtenmodells angesiedelten Transportprotokolle wie: - ATM - Frame Relay - MPLS - Diese Techniken werden als Layer-2-VPN bezeichnet. Diese Transportnetze sind vollkommen unabhängig vom öffentlich zugänglichen Internet. Layer-2-VPN weisen sich durch definierte Qualitätsparameter (Quality of Service, QoS) aus. Dies betrifft sowohl die zur Verfügung stehende Bandbreite als auch die mit dem Service-Provider vereinbarten "Service Level Agreements" (SLA). - Privates Netz durch den Einsatz von Verschlüsselung. Beispiele dafür sind die auf den Schichten 3-7 angesiedelten Protokolle: - IPSec - Transport Layer Security / Secure Sockets Layer (TLS/SSL) - Secure Shell (SSH) - Diese Techniken werden als Layer-3-VPN oder höher bezeichnet. Verschlüsselte Layer-3-VPN gewährleisten den Schutz der Vertraulichkeit und werden daher oftmals für Verbindungen über 8 Bundesamt für Sicherheit in der Informationstechnik

9 Grundlagen der MPLS-Technik das Internet verwendet. Internet-VPN gelten als günstig und flexibel, mit Schwächen im Bereich der Verfügbarkeit. Weitere Unterscheidungsmerkmale in Bezug auf VPN sind: - Verbindungsorientierte Techniken wie - ATM - Frame Relay - L2TP - GRE und - Verbindungslose Techniken wie - MPLS In verbindungsorientierten Netzen sind die beteiligten Netzkomponenten über so genannte Punktzu-Punkt- oder Punkt-zu-Mehrpunkt-Architekturen verbunden. Die Kommunikationsteilnehmer erreichen sich dadurch über zentrale Netzknoten. In verbindungslosen Netzen ist dagegen von "Any-to-Any"-Kommunikation die Rede. Alle Kommunikationsteilnehmer können dabei auf der logischen (IP-)Ebene direkt miteinander kommunizieren. Trotzdem kann der verbindungslose Charakter "gerouteter" IP-Netze beibehalten werden, indem sich alle IP-Segmente eines VPN direkt erreichen können. Das RFC 4364 [2] "BGP/MPLS IP Virtual Private Networks (VPNs)" definiert die Nomenklatur und die Begriffe im Bereich der MPLS-basierten VPNs. Darin ist beschrieben, auf welche Art und Weise VPN-Provider-Dienste eingehende IP- Datagramme aus den Netzsegmenten der Kunden entgegennehmen, um die Daten zu anderen Netzsegmenten des Kunden zu transportieren. Tabelle 1 gibt einige wichtige Begriffe der Nomenklatur für MPLS wieder. Begriff im RFC 4364 Beschreibung Abkürzung service provider customer core network Provider oder Netz-Dienstleister, der Kunden Transportleistungen über sein MPLS-Netz zur Verfügung stellt. Kunde, der Transportleistungen über das MPLS-Netz des Providers nutzt. Transportnetz, Core oder Backbone, über das die Kunden ihre Standorte verbinden. SP Bundesamt für Sicherheit in der Informationstechnik 9

10 Grundlagen der MPLS-Technik Begriff im RFC 4364 Beschreibung Abkürzung customer edge router provider edge router provider router Tabelle 1: MPLS-Nomenklatur Der CE bietet die Anschluss-Schnittstelle für die Kunden und wird üblicherweise in Räumlichkeiten des Kunden betrieben. Der CE wird mit dem PE des Providers verbunden. Der PE bindet die CE an den MPLS-Core an. An einem PE werden meist mehrere CE unterschiedlicher Kunden-VPN angebunden. Netzknoten innerhalb des MPLS-Core. Das sind alle Netzknoten innerhalb des MPLS-Netzes, die nicht direkt mit CE-Routern verbunden sind. CE PE P Die verwendeten Abkürzungen werden im Anhang 7.2 aufgelistet oder im Text erläutert. 2.2 MPLS-Überblick MPLS nutzt das so genannte "Label Switching"-Verfahren, um Daten durch das Netz zu transportieren. Router innerhalb des MPLS-Netzes verarbeiten die Label und werden als Label Switch Router (LSR) bezeichnet. Die IP-Datagramme werden am "Ingress-Router" (Eingangsrouter) erstmalig mit einem MPLS-Label (Header) versehen, das am Ausgangsrouter (Egress-Router) wieder entfernt wird (siehe Abbildung 1). Somit kann ab dort wieder IP geroutet werden. Der Provider kann dadurch beliebige IP-Segmente des Kunden transportieren. IP-Segmente mehrerer Kundennetze dürfen sich dabei überlappen. Im Regelfall geschieht der Transport für den Kunden vollkommen transparent. Lediglich die IP-Adresse der kundenseitigen PE-Schnittstelle ist für Kunden sichtbar. Abbildung 1: IP-Datagramme werden am Ingress-Router (links) mit einem MPLS-Label versehen, das am Egress- Router (rechts) wieder entfernt wird. 10 Bundesamt für Sicherheit in der Informationstechnik

11 Grundlagen der MPLS-Technik Alle LSR im MPLS-Netz kommunizieren über das Label Distribution Protocol (LDP) miteinander. Über LDP werden die im Netz konfigurierten, für jedes Kunden-VPN einmal existierenden MPLSLabel zu allen Routern propagiert. Die MPLS-Router speichern diese Informationen in ihrer LSPTabelle. Beim Eintritt eines Datagramms in einen MPLS-Knoten wird das ursprüngliche Label entfernt und ein neues Label, entsprechend der LSP-Tabelle des Routers, vor das IP-Datagramm gesetzt (siehe Abbildung 2). Abbildung 2: Pakete werden von jedem LSR entsprechend seiner LSP-Tabelle neu "gelabeled". Der resultierende Weg, den Datenpakete zwischen zwei Standorten durch das MPLS-Netz zurücklegen, wird als Label Switched Path (LSP) bezeichnet (siehe Abbildung 3). Abbildung 3: Der LSP ergibt sich aus der CE-CE-Strecke über die LSR. Bundesamt für Sicherheit in der Informationstechnik 11

12 Grundlagen der MPLS-Technik Ein Kunden-VPN besteht aus einer Anzahl von Standorten (Sites), die über das MPLS-Netz miteinander verbunden sind. Ein CE-Router einer Site ist immer Bestandteil genau eines Kunden- VPN. Der CE-Router ist mit dem PE-Router verbunden. Ein PE-Router einer Site ist üblicherweise mit mehreren CE-Routern unterschiedlicher Kunden-VPN verbunden (siehe Abbildung 4). Jede Site eines Kunden-VPN wird aus Sicht des Kunden durch einen CE-Router definiert. Aus Sicht des Service-Providers wird jede Site eines Kunden-VPN durch die Schnittstelle des PE- Routers definiert, die mit dem entsprechenden CE-Router verbunden ist. Abbildung 4: Die PE-Systeme können mit CE verschiedener Kundennetze verbunden sein. Auf dem PE wird jedes Kunden-VPN eines Standorts durch einen einmalig vorhandenen Bezeichner oder "Route Distinguisher" (RD) gekennzeichnet. Der "Route Distinguisher" wird einer dedizierten VRF-Instanz (VPN Routing / Forwarding) für dieses Kunden-VPN zugeordnet. Dadurch werden die Routen der unterschiedlichen Kunden-VPN getrennt voneinander in völlig verschiedenen virtuellen Router-Instanzen verwaltet (siehe Abbildung 5). 12 Bundesamt für Sicherheit in der Informationstechnik

13 Grundlagen der MPLS-Technik Abbildung 5: Auf den PE werden die Routen innerhalb separater VRF-Instanzen (VPN Routing / Forwarding) getrennt verwaltet. Die unterschiedlichen VRF-Instanzen werden nun bestimmten Sub-Interfaces auf den Routern zugeordnet. Über diese Sub-Interfaces wird die Verbindung zu den jeweiligen CE-Systemen des Kunden-VPN realisiert (siehe Abbildung 6). Abbildung 6: Über unterschiedliche Sub-Interfaces werden die angebundenen CEs den VRFs zugeordnet. Jeder virtuelle Router ist gekennzeichnet durch: - Eine virtuelle IP-Routing-Tabelle, Bundesamt für Sicherheit in der Informationstechnik 13

14 Grundlagen der MPLS-Technik - Eine aus der Routing-Tabelle abgeleitete Forwarding-Tabelle, - Eine Anzahl zugeordneter (Sub-)Interfaces, die diese Forwarding-Tabelle nutzen, - Regeln, die den Im- und Export von Routen in und aus der VPN-Routing-Tabelle kontrollieren, und - Eventuell zugeordnete Routing-Protokolle (EIGRP, OSPF). Anhand Abbildung 6 wird hier ein VRF-Konfigurationsbeispiel (Ausschnitt) für Cisco IOS auf dem PE-Router an Standort 1 gegeben:! Kunde Rot ip vrf Kunde_Rot Rd 123:1! Kunde Blau ip vrf Kunde_Blau Rd 117:1! Link zu CE Kunde rot Site 1 Interface FastEthernet 1/1/0.18 ip vrf forwarding Kunde_Rot! Link zu CE Kunde blau Site 1 Interface FastEthernet 1/1/0.17 ip vrf forwarding Kunde_Blau Der Route Distinguisher (RD) ist das Unterscheidungsmerkmal zwischen den VPN-VRFs. Der RD ist in den MPLS-Headern der MPLS-Pakete wiederzufinden. Im MPLS-Core wird durch die Nutzung von einmalig vorhandenen Route Distinguishern (RD) die Adressraumseparierung zwischen den VPN erreicht. Übergänge zwischen verschiedenen MPLS-VPNs sind in dieser Konfiguration nicht vorhanden. Es ist jedoch möglich, Übergänge zwischen unterschiedlichen VPNs zu schaffen, wenn dies so gewollt ist. Ein denkbares Szenario ist hierbei der Einsatz eines dedizierten und zentralen Internet-VPN für den Internetzugang der Kunden. In Cisco IOS werden die Routen dazu innerhalb der VRF- Konfiguration explizit importiert oder exportiert.! Kunde Rot ip vrf Kunde_Rot Rd 123:1 route-target import 222:1! Internet ip vrf Internet_VPN Rd 222:1 route-target export 123:1 14 Bundesamt für Sicherheit in der Informationstechnik

15 Grundlagen der MPLS-Technik 2.3 MPLS-Architektur Die Architektur von MPLS-Netzen ist hierarchisch angelegt und enthält die 3 Ebenen - Access (Netzzugang), - Distribution (Verteilung) und - Core (Kerntransportnetz). In Abbildung 7 ist die MPLS-Architektur schematisch dargestellt. Abbildung 7: Schematische Darstellung eines MPLS-Netzes Üblicherweise werden alle in Abbildung 7 dargestellten Netzkomponenten vom Provider betrieben. Dabei stellt die kundenseitige Ethernet-Schnittstelle des Customer Edge Routers den Netzabschluss aus Sicht des Providers dar. Der CE wird als Customer Premises Equipment (CPE) in den Räumen des Kunden aufgestellt und mit dessen LAN-Infrastruktur (Ethernet-Switch) verbunden (siehe Abbildung 8). Bundesamt für Sicherheit in der Informationstechnik 15

16 Grundlagen der MPLS-Technik Abbildung 8: Abgrenzung der Verantwortungsbereiche zwischen Kunde und Provider Am so genannten Service Access Point verlassen Datenpakete den Verantwortungsbereich des Kunden und erreichen den Verantwortungsbereich des Providers. Dieser Übergabepunkt ist meist die Eingangsschnittstelle der CPE (also der Ethernet-Port des vom Provider verwalteten CE). In anderen Szenarien wird der CE vom Kunden selbst betrieben. In diesem Fall ist der PE das erste Gerät in der Verantwortung des Providers. Die Datenpakete der unterschiedlichen Kundenanwendungen ( , Internet, Sprache, Video, Terminalanwendungen, Datenbanken) werden auf dem CE anhand spezifischer Eigenschaften (Protokoll) klassifiziert. Die Klassifizierung wird im IP-Header angezeigt (DiffServ mittels IP DSCP Bits). Anhand der so gekennzeichneten Pakete kann schon der CE-Router eine Transportpriorisierung vornehmen. Eine solche Unterscheidung ist notwendig, weil über das Datennetz in der Regel mehrere Dienste mit unterschiedlichen Ansprüchen an die Übertragungsqualität gesendet werden. VoIP-Anwendungen z. B. sind sehr empfindlich in Hinblick auf Laufzeiten (Delay), die Verzögerungen beim Telefonieren verursachen, und in Hinblick auf Schwankungen (Jitter). Um einer wichtigen Unternehmensanwendung wie Telefonie über Datennetze gerecht zu werden, wird diesen Paketen eine Art Vorfahrt in den Warteschlangen der Router-Schnittstellen eingeräumt. Diese sorgt zum einen dafür, dass - ständig eine garantierte Bandbreite für die Anwendung bereitgehalten wird (vergleichbar mit der Committed Information Rate (CIR) bei FR) und - eine priorisierte Signalisierung auf die Übertragungsleitung, vor den Datenpaketen anderer Anwendungen, stattfindet. In Cisco IOS gibt es für die Realisierung von QoS z. B. die Verfahren "Class-Based Weighted Fair Queuing" (CBWFQ) und "Low-Latency Queuing" (LLQ). Datenpakete von Anwendungen 16 Bundesamt für Sicherheit in der Informationstechnik

17 Grundlagen der MPLS-Technik niedriger Priorität (Internet, ) werden im Vergleich zu VoIP oder Video-Anwendungen verzögert übertragen und im Falle erschöpfter Übertragungskapazitäten bevorzugt verworfen. Die Umsetzung der Klassifizierung innerhalb der IP-Datagramme in die MPLS-Header wird vom Ingress-LSR (PE) übernommen. Der LSR überträgt die Informationen aus dem DSCP-Feld des IP- Headers in das EXP-Feld ("Experimental") des MPLS-Headers. Gemäß IETF-Empfehlung ist der MPLS-Shim-Header 32 Bit lang. Für das MPLS-Label stehen 20 Bit zur Verfügung. Das EXP-Feld umfasst 3 Bit. Der Rest des Headers wird von Stack (1 Bit) und TTL (8 Bit) eingenommen [11]. 2.4 Sicherheitsbetrachtung MPLS Klassische Layer-2-VPN bieten per Definition keine integrierte Verschlüsselung (siehe Kapitel 2.1). Gleichwohl bringen diese Techniken ein gewisses Maß an Sicherheit mit sich, weil die Daten verschiedener Kundennetze innerhalb separierter Transportkanäle übertragen werden (ATM VPI / VCI; Frame Relay DLCI). Layer-3-IP-Datagramme werden für den Transport über die Providerplattform in ATM-Zellen oder in FR-Rahmen gekapselt und im Zielsegment wieder ausgepackt. Innerhalb der Netzplattform existiert also keine IP-Konnektivität. Dadurch entfallen die meisten der heute bekannten Angriffsszenarien auf IP-Ebene. Weiterhin verwenden Layer-2-Netze häufig private Netzinfrastrukturen. Öffentliche Netze wie das Internet werden in der Regel für den Datentransport nicht genutzt. Gleichwohl kann das Netz einer Behörde oder eines Unternehmens aus einer Kombination von privaten Layer-2-Verbindungen und Internet-VPNs (TLS/SSL/IPSec/SSH) realisiert werden. MPLS ist zwischen den Netzschichten 2 und 3 angesiedelt. Es bringt durch die Verwendung der Label-Technik ein mit anderen Layer-2-VPN vergleichbares Maß an Sicherheit mit sich [5]. Dabei werden die IP-Datagramme mit einem vorgeschalteten MPLS-Label-Stack versehen. Dadurch sind die IP-Daten der unterschiedlichen Kundennetze voneinander getrennt. Somit ist ein MPLS-Netz sicherheitstechnisch durchaus mit ATM/FR-Netzen vergleichbar. Trotzdem bleibt der MPLS- Backbone mit seinen Netzknoten ein zwischen mehreren Kunden geteiltes Medium. Es gibt theoretische und praktische Angriffsszenarien auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Täter können dabei aus anderen Kunden-VPN, aus dem Internet oder direkt aus dem Providernetz heraus angreifen. Um ein höheres Maß an Sicherheit zu erzielen, besteht für Kunden von Layer-2- und MPLS-Netzen die Möglichkeit, verschlüsselte Verbindungen einzusetzen. Als gängiges Verfahren sei an dieser Stelle das "IPSec Site-to-Site Tunneling" genannt, mit dem auch gegenüber dem Providerpersonal die Schutzziele Vertraulichkeit und Integrität in hohem Maße gewährleistet werden können. Als grundsätzlich vorhandenes Risiko geteilter MPLS-Infrastrukturen existiert auch bei Einsatz von Tunneltechniken die Gefahr eines Denial-of-Service (DoS). Dies ist vor allem bei den PE-Routern relevant, die Verbindungen zu den CE-Systemen mehrerer Kunden-VPN haben. Ein DoS-Angriff aus einem Kunden-VPN, der zu einem Ausfall des PE-Systems führt, würde auch die anderen VPNs, die den selben PE nutzen, negativ beeinflussen. MPLS-Netze können auch dediziert für nur einen Kunden (Behörde oder Unternehmen) existieren. MPLS-Netze werden an Hand der folgenden 3 Merkmale charakterisiert. Diese Unterscheidung ist wichtig für die Einschätzung der Bedrohungen: 1. Control Plane (Steuerungsebene) - Die Control Plane wird durch Routing-Instanzen definiert. Der CE-Router propagiert dabei die IP-Routen seines Standorts zum angeschlossenen PE-Router. Dieser wiederum versorgt Bundesamt für Sicherheit in der Informationstechnik 17

18 Grundlagen der MPLS-Technik den CE-Router mit seinen Routing-Informationen. Dies kann über Routing-Protokolle (wie OSPF, BGP) oder über statisches Routing geschehen. - Ein PE ist mit den CE mehrerer Kundennetze verbunden. Die Routing-Informationen der einzelnen Kundennetze werden in separierten VRF-Instanzen ("VPN Routing / Forwarding") vorgehalten. Die VRF werden anhand von "Route Distinguishern (RD)" unterschieden. 2. Data Plane (Ebene des Kundendatenverkehrs) - Im Bereich der Data Plane transportiert das CE-System den IP-Verkehr des Kunden zu den VRF der PE. - Am PE-System werden die Pakete mit dem PE-Label des Egress-Routers (Ziel-PE) und dem kundenspezifischen VPN-Label versehen. 3. Management Plane (Verwaltungsebene) - Die Management Plane definiert den Netzmanagementverkehr (in-band oder out-of-band), über den die Netzoperatoren ihre Netze verwalten. Unterschiedliche Angriffe zielen auf die unterschiedlichen Ebenen dieser Netzklassifikation ab. 18 Bundesamt für Sicherheit in der Informationstechnik

19 Gefährdungen bei der Nutzung von MPLS-Infrastrukturen 3 Gefährdungen bei der Nutzung von MPLS- Infrastrukturen Die allgemeinen Gefährdungen für die sichere Datenübertragung in MPLS-Netzen entsprechen den relevanten Gefährdungen in den IT-Grundschutz-Katalogen G1 bis G5. Diese allgemeinen Gefährdungen werden in dieser Kurzstudie berücksichtigt, jedoch nicht mit aufgeführt. In diesem Kapitel werden die spezifischen, durch Nutzung der MPLS-Technik entstehenden Gefährdungen beschrieben. Tabelle 2 listet die MPLS-spezifischen Gefährdungen in einem Überblick auf. Im Anschluss daran werden die einzelnen Gefährdungen erläutert. Bezeichner Beschreibung der Gefährdung Maßnahmen G.PakAus Austritt markierter MPLS-Pakete aus dem VPN M01, M16, M17, M22 G.PakInjVPN G.PakInjCore G.PakInjIntAS G.FehlCE G.FehlCE-IAS G.Sichtbar G.DatenMix Injizieren unberechtigter Pakete aus einem MPLS- VPN in ein anderes MPLS-VPN Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN Anbinden eines unberechtigten CE-Routers durch Fehlkonfiguration Anbinden eines unberechtigten CE-Routers im Transportnetz eines anderen Netzdienstleisters Sichtbarkeit der logischen Struktur des Provider- Netzes Vermischung des Datenverkehrs verschiedener Kundennetze M01, M02, M16, M17, M18, M22 M01, M02, M03, M17, M18, M20, M22 M01, M02, M03, M04, M16, M18, M20, M22 M03, M05, M16, M18, M20, M21, M24 M05, M06, M16, M18, M21, M24 M07, M10 M08, M16, M18, M21 G.PE-DoS Denial-of-Service-Angriff auf PE-Router M09, M16 G.WWW-DoS Denial-of-Service-Angriff aus dem Internet M07, M10, M11, M19 G.BGP-DoS Denial-of-Service-Angriffe auf das Routing- Protokoll BGP im Core M07, M12, M16 Bundesamt für Sicherheit in der Informationstechnik 19

20 Gefährdungen bei der Nutzung von MPLS-Infrastrukturen Bezeichner Beschreibung der Gefährdung Maßnahmen G.Route-DoS Denial-of-Service-Angriffe auf VPNs durch Routing- Updates M09, M13, M14, M15, M16 G.Ausfall Denial-of-Service durch Ausfall des Transportnetzes M15, M23 Tabelle 2: Übersicht über die spezifischen Gefährdungen bei der Nutzung von MPLS-Netzen Im Folgenden werden die für MPLS relevanten Gefährdungen, die in Tabelle 2 aufgeführt sind, erläutert. 3.1 Austritt markierter MPLS-Pakete aus dem VPN G.PakAus Mit MPLS-Header versehene ("gelabelte") Pakete können unter Umständen unbeabsichtigt das vorgesehene MPLS-VPN verlassen und in anderen VPNs oder IP-Netzen sichtbar werden. Diese Gefährdung ist in RFC 4364 [2] "Data Plane Security" beschrieben. Demnach kann diese Gefährdung auftreten, wenn ein Backbone-Router "gelabelte" Pakete an nicht-vertrauenswürdige Systeme weiterleitet, zu denen eine IPv4-Route existiert. Dieses Verhalten ist gemäß RFC nicht zugelassen. Als mögliche Ursachen kommen demnach Softwarefehler und Fehlkonfigurationen in Frage. Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit 3.2 Injizieren unberechtigter Pakete aus einem MPLS-VPN in ein anderes MPLS-VPN G.PakInjVPN Teilnetze unterschiedlicher MPLS-VPN am gleichen Standort (Site) sind über einen gemeinsamen PE-Router mit dem MPLS-Backbone und mit den anderen Standorten des zugehörigen MPLS-VPN verbunden. Datenpakete mit veränderten MPLS-Labeln ("MPLS-Label-Spoofing") könnten unberechtigt in ein MPLS-VPN gelangen, wenn der PE-Router entsprechende Pakete mit gefälschtem Label vom CE-Router eines Kunden-VPN akzeptiert und in ein anderes Kunden-VPN transportiert. Bidirektionale Kommunikation ist in diesem Szenario nicht möglich. Gemäß RFC darf ein PE- Router keine Pakete mit MPLS-Label von einem CE-System annehmen. Bei RFC-konformer Konfiguration und Implementierung ist demnach ein MPLS-Label-Spoofing von einem VPN in ein anderes nicht möglich. Als mögliche Ursachen kommen demnach Softwarefehler, Fehlkonfiguration und gezielte Angriffe in Frage. 20 Bundesamt für Sicherheit in der Informationstechnik

21 Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität Gefährdungen bei der Nutzung von MPLS-Infrastrukturen 3.3 Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN G.PakInjCore In ein MPLS-VPN könnten manipulierte Datenpakete aus dem Transportnetz des Netzdienstleisters (Core) eindringen. Dies setzt voraus, dass Manipulationen (MPLS-Label-Spoofing) innerhalb des Cores nicht von den PE-Routern verworfen werden, sondern in ein MPLS-VPN eindringen können. RFC 4364 enthält Vorgaben, die die Eintrittswahrscheinlichkeit dieser Gefährdung senken. Bidirektionale Kommunikation ist in diesem Szenario nicht möglich. Als mögliche Ursachen kommen Softwarefehler, Fehlkonfiguration oder gezielte Angriffe aus dem Transportnetz des Dienstleisters in Frage (MPLS-Label-Spoofing durch Man-in-the-Middle- Angriff, z. B. des Providerpersonals). Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität 3.4 Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN G.PakInjIntAS Zur Kopplung verschiedener Kundenstandorte eines MPLS-VPNs über die Netzgrenzen des Transportdienstleisters hinaus (z. B. in das Ausland) etablieren MPLS-Provider sogenannte "Inter-AS"- Verbindungen (AS: Autonomous System) oder "Carrier s Carrier"-Verbindungen untereinander. Dadurch entsteht aus diesen Netzen heraus prinzipiell ein analoges Gefährdungsszenario, wie in G.PakInjCore beschrieben. Das heißt, es könnten unberechtigte Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN gelangen. Als mögliche Ursachen kommen Softwarefehler, Fehlkonfiguration oder gezielte Angriffe aus dem Transportnetz des externen MPLS-Dienstleisters in Frage (MPLS-Label-Spoofing durch Man-inthe-Middle-Angriff, z. B. des Providerpersonals). Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität Bundesamt für Sicherheit in der Informationstechnik 21

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN)

Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN) Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN) Dial-In VPN DSL SFV Firewall Virencheck Agenda 1. Warum ein virtuelles privates Netzwerk? 2. Welche VPN-Varianten bietet der

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

Nutzen und Vorteile der Netzwerkvirtualisierung

Nutzen und Vorteile der Netzwerkvirtualisierung Nutzen und Vorteile der Netzwerkvirtualisierung Dominik Krummenacher Systems Engineer, Econis AG 09.03.2010 Econis AG 2010 - Seite 1 - What s the Meaning of Virtual? If you can see it and it is there It

Mehr

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013 Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information Juli 2013 Inhalt 1 Einleitung 3 2 Anbindungsmöglichkeiten 4 2.1 Übersicht 4 2.2 IP VPN über MPLS 5 2.2.1 Anschluss in

Mehr

Internet Protokolle für Multimedia - Anwendungen

Internet Protokolle für Multimedia - Anwendungen Internet Protokolle für Multimedia - Anwendungen Kapitel 5.5 Multiprotocol Label Switching (MPLS) 1 Gliederung Grundlagen Idee, Konzept Label Switching Technologie Label Distribution Protokolle LDP und

Mehr

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Virtuelle Private Netze Teil 2

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Virtuelle Private Netze Teil 2 tegrierte IT-Service-Management- Lösungen anhand von Fallstudien Virtuelle Private Netze Teil 2 Dr. Michael Nerb et al., Prof. Dr. Heinz-Gerd Hegering SoSe 2007 Seite 2 Virtuelle Private Netze Wiederholung

Mehr

Bettina Kauth. kauth@noc.dfn.de

Bettina Kauth. kauth@noc.dfn.de Bettina Kauth kauth@noc.dfn.de 1 Möglichkeiten, zur direkten Kopplung von Standorten oder Instituten über das X-WiN Schalten von phys. Verbindungen/Wellenlängen Tunneling MPLS basierte Virtual Private

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

MPLS Multiprotocol Label Switching

MPLS Multiprotocol Label Switching MPLS Multiprotocol Label Switching Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Rechnernetze Institut für Informatik Freie

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Carrier Ethernet. Produktbeschreibung

Carrier Ethernet. Produktbeschreibung Carrier Ethernet Produktbeschreibung Terminologie Ethernet Virtual Connection (EVC) Jeder Transport von Daten eines Services zwischen UNI s erfolgt als dedizierte virtuelle Ethernet Verbindung (EVC) auf

Mehr

Business MPLS VPN. Ihr schnelles und sicheres Unternehmensnetzwerk

Business MPLS VPN. Ihr schnelles und sicheres Unternehmensnetzwerk Business MPLS VPN Ihr schnelles und sicheres Unternehmensnetzwerk Verbinden Sie Ihre Standorte zu einem hochperformanten und gesicherten Netz. So profitieren Sie von der Beschleunigung Ihrer Kommunikationswege

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch

AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch HP Network Node Manager: Überwachung von MPLS-basierenden Netzwerken AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

MPLS-Praktikumsanleitung

MPLS-Praktikumsanleitung Technische Universität Ilmenau Fakultät für Elektrotechnik und Informationstechnik Einführung in das Multiprotocol Label Switching (MPLS) Stand: Juli 2011 Fachgebiet Kommunikationsnetze Fakultät für Elektrotechnik

Mehr

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004 Der Weg ins Internet 1 Übersicht Internetverbindung aus Sicht von QSC als ISP Struktur Technik Routing 2 Layer Access-Layer Distribution-Layer Core-Layer Kupfer- Doppelader (TAL) Glasfaser (STM-1) Glasfaser

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

Kundeninfo Anbindung externer Standorte an die Uptime Cloud

Kundeninfo Anbindung externer Standorte an die Uptime Cloud Kundeninfo Anbindung externer Standorte an die Uptime Cloud 1 Einleitung Uptime IT bietet seinen Kunden Infrastructure as a Service (IaaS) Leistungen auf Basis der Uptime Cloud an 2 Standorten an. Für

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Ethernet Switching und VLAN s mit Cisco. Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh.

Ethernet Switching und VLAN s mit Cisco. Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh. Ethernet Switching und VLAN s mit Cisco Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh.de Der klassische Switch Aufgaben: Segmentierung belasteter Netzwerke

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Kommunikationsnetze. Praxis Internet. Michael@Rotert.de. Version 4.0. Kommunikationsnetze M.Rotert SS2015 Teil4: IPv4 Routing

Kommunikationsnetze. Praxis Internet. Michael@Rotert.de. Version 4.0. Kommunikationsnetze M.Rotert SS2015 Teil4: IPv4 Routing Kommunikationsnetze Praxis Internet Michael Rotert E-Mail: Michael@Rotert.de Version 4.0 Kommunikationsnetze M.Rotert SS2015 Teil4: IPv4 Routing 1 Inhalt Einführung (Teil 1) Lokale Netze (LAN) Topologie,

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Finance IPNet Version 1.5 03. März 2015

Finance IPNet Version 1.5 03. März 2015 Finance IPNet Version 1.5 03. März 2015 Inhaltsverzeichnis 1. Allgemein... 3 2. Bestellung und Kontakte Finance IPNet... 3 3. Kontakte der Application Service Provider... 3 4. Problem Management, Help

Mehr

VPNSicher. Flexibel Kostengünstig. Ihr Zugang zur TMR-Datenautobahn

VPNSicher. Flexibel Kostengünstig. Ihr Zugang zur TMR-Datenautobahn VPNSicher Flexibel Kostengünstig Ihr Zugang zur TMR-Datenautobahn Die DATENAutobahn Was ist VPN? Getrennter Transport von privaten und öffentlichen Daten über das gleiche Netzwerk. Virtuell: Viele Wege

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

2L03: VPN Verbindungen zwischen RZ und Standorten

2L03: VPN Verbindungen zwischen RZ und Standorten 2L03: VPN Verbindungen zwischen RZ und Standorten Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Verbindungen zwischen Standorten VPN Verbindungen

Mehr

Band M, Kapitel 5: Server

Band M, Kapitel 5: Server Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Multiprotocol Label Switching (MPLS)

Multiprotocol Label Switching (MPLS) Multiprotocol Label Switching (MPLS) Prinzipip - Technik - Anwendung - Gremien Harald Orlamünder Alcatel SEL AG Chart No. 1 Protokolle für Qualität und Echtzeit im Internet Echtzeit und Qualität für IP-Netze

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Virtual Private Networks auf Basis von MPLS MPLS L3VPN (RFC-4364 / RFC-2547)

Virtual Private Networks auf Basis von MPLS MPLS L3VPN (RFC-4364 / RFC-2547) Virtual Private Networks auf Basis von MPLS MPLS L3VPN (RFC-4364 / RFC-2547) Whitepaper Verfasser: Olaf Belling, Tobias Thau Inhaltsverzeichnis 1 Einführung... 3 2 Struktur des MPLS Netzwerks... 3 2.1

Mehr

Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten

Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten Das vorliegende Dokument ist eine Anlage zu den Präqualifikations- Anforderungen für die Erbringung von Abschaltleistung aus abschaltbaren

Mehr

IPv6 Netzarchitektur, Möglichkeiten und Ausblick. Dirk Walter

IPv6 Netzarchitektur, Möglichkeiten und Ausblick. Dirk Walter IPv6 Netzarchitektur, Möglichkeiten und Ausblick Dirk Walter Agenda Einführung / Was ist IPv6? Grundsätzliche Transition Strategie Warum auf IPv6 wechseln? Empfehlung IPv6 T-Systems 2 Einführung IPv6 T-Systems

Mehr

Computernetze In Brief

Computernetze In Brief Computernetze In Brief Inhaltsverzeichnis: Computernetze...1 In Brief...1 Inhaltsverzeichnis:...2 Routing...3 1. Load Balancing / Load Sharing...3 2. IP ROUTE Befehl...3 3. Classful / Classless...4 4.

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Entscheidend ist das Netz

Entscheidend ist das Netz Entscheidend ist das Netz Autor: Uwe Becker, Manager Professional Services, Equant Die andauernde Diskussion um Voice-over-IP (VoIP) bezieht sich hauptsächlich auf den Einsatz der Technologie in lokalen

Mehr

Next Generation Network oder Die Zukunft der Standortvernetzung

Next Generation Network oder Die Zukunft der Standortvernetzung Next Generation Network oder Die Zukunft der Standortvernetzung Jens Müller, Dipl.-Ing (FH), MSc QSC AG - Managed Services München, Business Partnering Convention 2011 Agenda Standortvernetzung war gestern

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

SERVICE LEVEL AGREEMENT QSC -Company-VPN (MPLS)

SERVICE LEVEL AGREEMENT QSC -Company-VPN (MPLS) 1 Leistungen Für die im Rahmen von QSC -Company-VPN bereitgestellten nachfolgend genannten Leistungen gelten die folgenden Service Level: VPN-Standortanbindung basierend auf Anbindungsart SHDSL Anbindungsart

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / vv - 20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/

Mehr

Router Testing: The State of the Art

Router Testing: The State of the Art Router Testing: The State of the Art Benutzergruppe Netzwerke 13. Mai 2004 Carsten Rossenhövel, EANTC www.eantc.com 1 Übersicht Bedeutung von Tests für Hersteller und Netzbetreiber Einführung in moderne

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I 1 VORWORT 1-1 2 MOTIVATION 2-3 2.1 Sicherheitsrelevante Unterschiede zwischen TDM und VoIP

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Chapter 7 Distanzvektorprotokolle. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 7 Distanzvektorprotokolle. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 7 Distanzvektorprotokolle CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Carrier Ethernet Service. Punkt-zu-Punkt Service

Carrier Ethernet Service. Punkt-zu-Punkt Service Punkt-zu-Punkt Service Ausgabedatum 008.2013 Ersetzt Version 2-0 Gültig ab 008.2013 Vertrag Vertrag betreffend Data Services Vertrag betreffend Mietleitungen FMG Gültig ab 008.2013 1/9 Inhaltsverzeichnis

Mehr

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o

Mehr

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser.

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser. CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3

Mehr

Strategien bei IP-Netzen Neuplanung und Erweiterung von IP-Netzen

Strategien bei IP-Netzen Neuplanung und Erweiterung von IP-Netzen Strategien bei IP-Netzen Neuplanung und Erweiterung von IP-Netzen Hans Peter Dittler Konzeption und Design von IP-Netzen 24. und 25. Januar 2002 Bonn Dipl. Inform. Hans Peter Dittler 72-77 Informatikstudium

Mehr

Halle 2007-05-08 Oliver Göbel

Halle 2007-05-08 Oliver Göbel RUS CERT Sicherheit und Sprach-dienste (VoIP) 8. Tagung der DFN-Nutzergruppe Hochschulverwaltung Halle 2007-05-08 http://cert.uni-stuttgart.de/ Das RUS-CERT Folie: 2 Stabsstelle DV-Sicherheit der Universität

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany

Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany Dipl.-Betriebswirt(FH) Stephan Lehmann Produktmanager Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Netzvirtualisierung am SCC

Netzvirtualisierung am SCC Netzvirtualisierung am SCC Historie - Status - Ausblick Dipl.-Ing. Reinhard Strebler / SCC STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Vorlesung Rechnernetze II Teil 2 Sommersemester 2007

Vorlesung Rechnernetze II Teil 2 Sommersemester 2007 Vorlesung Rechnernetze II Teil 2 Sommersemester 27 Christian Grimm Fachgebiet Distributed Virtual Reality (DVR) Lehrgebiet Rechnernetze Übersicht MPLS Provisioning und Subscribing Probleme mit klassischem

Mehr

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden. Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum

Mehr

Cisco erweitert Gigabit-Ethernet-Portfolio

Cisco erweitert Gigabit-Ethernet-Portfolio Seite 1/6 Kleine und mittelständische Unternehmen Neue 1000BaseT-Produkte erleichtern die Migration zur Gigabit-Ethernet- Technologie WIEN. Cisco Systems stellt eine Lösung vor, die mittelständischen Unternehmen

Mehr

NGN Eine Übersicht. VDE/ITG FG 5.2.3 Harald Orlamünder

NGN Eine Übersicht. VDE/ITG FG 5.2.3 Harald Orlamünder NGN Eine Übersicht VDE/ITG FG 5.2.3 Harald Orlamünder Inhalt > Definition von NGN, Abgrenzung > Architektur von NGNs > Einführung von NGNs > Was bleibt noch zu tun? NGN eine Übersicht 2 Definition [Y.2001]

Mehr

Sicheres Netz der KVen Konzept Routing

Sicheres Netz der KVen Konzept Routing [KBV_SNK_KNEX_Routing] Dezernat 6 Informationstechnik, Telematik und Telemedizin 10623 Berlin, Herbert-Lewin-Platz 2 Kassenärztliche Bundesvereinigung Version 1.1 Datum: 31.10.2011 Klassifizierung: Öffentlich

Mehr

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung Dipl.-Betriebswirt(FH) Stephan Lehmann Produktmanager Tel. 030/65884-265 Stephan.Lehmann@rohde-schwarz.com

Mehr

ethernet.vpn Managed High-Speed-Networks

ethernet.vpn Managed High-Speed-Networks ethernet.vpn Managed High-Speed-Networks managed High-Speed Networks Standortvernetzung (VPN) flexibel, kostengünstig, leistungsstark Mit ethernet.vpn bietet ecotel eine Full-Service Dienstleistung für

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein?

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Nach einer Projektarbeit von M. Bitzi und M. Häfliger HSLU T&A in Zusammenarbeit mit Siemens BT (begleitet durch P. Infanger) Einleitung Projektarbeit

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

LEISTUNGSBESCHREIBUNG QSC -Firewall

LEISTUNGSBESCHREIBUNG QSC -Firewall Die QSC AG bietet Unternehmen und professionellen Anwendern mit dem Produkt eine netzbasierte Firewall-Lösung, die eine funktionale Erweiterung zu Q-DSL -Internetzugängen darstellt. Mit wird die Internetanbindung

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Telekommunikation in der Telematik

Telekommunikation in der Telematik Telekommunikation in der Telematik aktuelle Möglichkeiten für die Leittechnik Prof. Dr.-Ing. Ludwig Niebel Telekommunikation in der Telematik 1. Telematik? 2. Klassisches Szenario 3. Status der Telekommunikation

Mehr

CISCO-Router. Installation und Konfiguration Dr. Klaus Coufal

CISCO-Router. Installation und Konfiguration Dr. Klaus Coufal CISCO-Router Installation und Konfiguration Dr. Klaus Coufal Themenübersicht Grundlagen Router IOS Basiskonfiguration Administration Dr. Klaus Coufal 5.3.2001 Router Einführung 2 Grundlagen Routing Was

Mehr

Inhaltsverzeichnis 1 STÖRFÄLLE UND IHRE AUSWIRKUNG AUF DIE NETZWERKVERFÜGBARKEIT 1

Inhaltsverzeichnis 1 STÖRFÄLLE UND IHRE AUSWIRKUNG AUF DIE NETZWERKVERFÜGBARKEIT 1 Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I 1 STÖRFÄLLE UND IHRE AUSWIRKUNG AUF DIE NETZWERKVERFÜGBARKEIT 1 1.1 Verkabelung 2 1.1.1 Link-Ausfall 2 1.1.2 Wackelkontakt (Port Flapping) 4 1.1.3 Schlechte

Mehr

Leistungsbeschreibung blizznetvll und blizznetvpls Version: 3.3

Leistungsbeschreibung blizznetvll und blizznetvpls Version: 3.3 Leistungsbeschreibung blizznetvll und blizznetvpls Version: 3.3 Bankverbindung: Wien Energie GmbH FN 215854h UniCredit Bank Austria AG Thomas-Klestil-Platz 14 1030 Wien Handelsgericht Wien Konto-Nr.: 696

Mehr

Firewalls illustriert

Firewalls illustriert Jörg Fritscfo Steffen GurTdeP Firewalls illustriert Netzwerksicherheit durch Paketfilter ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney

Mehr

Wo geht s lang: Routing. Erstellt von Simon Wegbünder.

Wo geht s lang: Routing. Erstellt von Simon Wegbünder. Wo geht s lang: Routing Erstellt von. 1. Routing allgemein efinition: Festlegen von Wegen für Nachrichtenströme bei der Nachrichtenübermittlung in Rechnernetzen - Paketvermittelte Übertragung (so auch

Mehr

Leistungsbeschreibung blizznetbusinessinternet Version: 2.0

Leistungsbeschreibung blizznetbusinessinternet Version: 2.0 Leistungsbeschreibung blizznetbusinessinternet Version: 2.0 Bankverbindung: Wien Energie GmbH FN 215854h UniCredit Bank Austria AG Thomas-Klestil-Platz 14 1030 Wien Handelsgericht Wien Konto-Nr.: 696 216

Mehr

Planung von Netzen mit MPLS VPN. Herbert Almus TU Berlin / EANTC AG

Planung von Netzen mit MPLS VPN. Herbert Almus TU Berlin / EANTC AG Planung von Netzen mit MPLS VPN Herbert Almus TU Berlin / EANTC AG Benutzergruppe Netzwerke Herbsttagung, 27.-28.11.2003 Unternehmensprofil EANTC AG EANTC ist ein hochspezialisierter Dienstleister im Bereich

Mehr

Chapter 10 Routinggrundlagen und Subnetze. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 10 Routinggrundlagen und Subnetze. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 10 Routinggrundlagen und Subnetze CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

NGN Versuch einer Standortbestimmung

NGN Versuch einer Standortbestimmung ITG-Fachausschuss 5.2 Kommunikationsnetze und Systeme Workshop Zukunft der Netze 1. Oktober 2004, Kaiserslautern NGN Versuch einer Standortbestimmung Detlef Griga (detlef.griga@arcor.net) Prof. Dr. Ulrich

Mehr

Bandwidth Trading. Patrick Hämmerle Daniel Dönni Daniel Rickert

Bandwidth Trading. Patrick Hämmerle Daniel Dönni Daniel Rickert Bandwidth Trading Patrick Hämmerle Daniel Dönni Daniel Rickert Inhaltsverzeichnis 1. Begrüssung 2. Einleitung 3. Bandbreite als Gut 4. Geschichtlicher Hintergrund 5. Quality of Service in IP-Netzen 6.

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Verschlüsselung von VoIP Telefonie

Verschlüsselung von VoIP Telefonie Verschlüsselung von VoIP Telefonie Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2 VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen

Mehr